614373303

Maciej Szmit

wać się, żeby biegły informatyk znał wykładnię operatywną i wyjaśniał sądowi ewentualne wątpliwości zgodnie z nią - pomijając obowiązujące w jego dziedzinie wiedzy normy. Byłoby to zresztą sprzeczne zarówno z zasadami opiniowania, jak i ze zdrowym rozsądkiem. W powołanej książce autor używa określenie obejścia: „nie oddziaływuje bezpośrednio na istniejące zabezpieczenia i nie usuwa ich", jak więc można się domyślać, przełamanie powinno oddziaływać bezpośrednio na istniejące zabezpieczenia lub usuwać je. O ile usuwanie zabezpieczeń jest przypadkiem dość oczywistym, o tyle pojęcie „bezpośredniego oddziaływania na zabezpieczenia" może budzić szereg wątpliwości. Zapewne właściwe byłoby tu mówienie o jakimś oddziaływaniu na mechanizm zabezpieczający, powodującym jego działanie niezgodne z intencją twórcy, tyle że takim działaniem byłby i - na przykład - atak typu SQL-injection, który trudno uznać za coś innego, niż wykorzystanie luki w bardzo żle napisanym zabezpieczeniu systemu³¹⁵.

³¹⁵ Ciekawy przypadek karnoprawnej kwalifikacji takiego ataku miał miejsce w postępowaniu przed Sądem Rejonowym w Głogowie. Sąd (pod rządami przepisu w jego brzmieniu sprzed nowelizacji) uniewinnił prawomocnie oskarżonego o czyn z art. 267 par 1 KK, który posłużył się techniką SQL-injection wykorzystując w ten sposób lukę w istniejących zabezpieczeniach. Sąd w uzasadnieniu wyroku napisał m.in.: „Zdaniem Sądu, mając na uwadze obecną treść art. 267 § 1 KK, ustawodawcy chodzi o przełamanie istniejącego zabezpieczenia. Nie można przełamać czegoś, co nie istnieje. Za taką interpretacją przemawia chociażby słownikowa definicja bezokolicznika »przełamywać« jako »łamanie czegoś, przezwyciężanie czegoś, zwalczanie czegoś« {Popularni/ słownik języka polskiego, Wydawnictwo Wilga, Warszawa 2000)", później jednak odniósł się do (podówczas znajdującej się jeszcze na etapie projektu) nowelizacji rozszerzającej znamiona czynu zabronionego o „omijanie" pisząc: „Zupełnie czymś innym jest ominięcie zabezpieczenia poprzez znalezienie w nim luki. Za takim wnioskiem przemawia powołany proponowany projekt zmiany 267 § 1 KK, gdzie rozszerza się katalog czasownikowych zachowań sprawcy również i o ominięcie elektronicznego zabezpieczenia". Zob. P. Waglowski: Nie można przełamać czegoś, co nie istnieje polski wyrok w sprawie SQL Injection, http://prawo.vagla.pl/ node/8154. Do drugiej części uzasadnienia można mieć wątpliwości, rzeczy i zjawiska nieistniejące równie trudno bowiem przełamywać jak i obchodzić. Ciekawe rozważania na ten temat zawiera artykuł A. Baworowskiego, który postuluje, że aby mówić o zabezpieczeniach muszą one mieć charakter zupełny, przynajmniej na poziomie podstawowym (jeśli dysponent pozostawi możliwości nieuprawnionego dotarcia do informacji, nie wprowadzając co najmniej zabezpieczeń producenta, to nie można mówić o zabezpieczeniu). Za ominięcie należałoby więc, w takiej interpretacji, uznać znalezienie i wykorzystania nowej (nieznanej przez producenta) luki w zabezpieczeniach. Zob. A. Baworowski: Problemy wykładni przepisów art. 268 § 2, 269 § 2 i 269a KK po nowelizacjach z 2008 r., „Diariusz Prawniczy" Nr 10/11/2009.

140